サイト内の現在位置

UNIVERGE IXシリーズにおける複数の脆弱性

掲載番号:NV24-009
脆弱性情報識別番号:CVE-2024-11013、CVE-2024-11014

概要

UNIVERGE IX/IX-R/IX-Vシリーズには、複数の脆弱性が存在します。
・当該製品の管理画面にログインしているユーザがWebGUIのメッセージを改ざんし装置に送信することで、当該製品上で任意のCLIのコマンドが実行される (CVE-2024-11013)
・当該製品の管理画面にログインしているユーザが細工されたリンクにアクセスした場合、当該製品の管理画面上で意図しない画面が表示される(CVE-2024-11014)

対象製品

UNIVERGE IXシリーズ

対象となる製品のバージョン

CVE-2024-11013
  ・UNIVERGE IXシリーズ、Ver9.2から10.10.21まで
   Ver10.8はVer10.8.27まで、Ver10.9はVer10.9.14までのバージョン
  ・UNIVERGE IX-R/IX-Vシリーズ、Ver1.2.15およびそれ以前

CVE-2024-11014
  ・UNIVERGE IXシリーズ、Ver9.2から10.10.21まで
   Ver10.8はVer10.8.27まで、Ver10.9はVer10.9.14までのバージョン

対処方法

以下のページを参照し、アップデートを実施してください。
UNIVERGE IXシリーズ
https://jpn.nec.com/univerge/ix/Support/Security-Info/JVN/JVN53958863.html
UNIVERGE IX-R/IX-Vシリーズ
https://jpn.nec.com/univerge/ix-nrv/Support/Security-Info/JVN/JVN53958863.html

または、以下の回避策を適用してください。
・WebGUIを無効にする

参考情報

謝辞

本脆弱性の発見者である 株式会社Flatt Security RyotaK様 に厚く御礼申し上げます。

更新情報

2024/11/29
UNIVERGE IXシリーズ を登録しました。